Catalyst 6500/6000 での NAT の設定例
内容
概要
このドキュメントでは、Cisco Catalyst 6500/6000 シリーズ スイッチでの Network Address Translation(NAT)の設定方法について説明しています。
前提条件
要件
この設定を行う前に、次の要件が満たされていることを確認します。
-
NAT の動作の仕組みに関する知識があること。
-
ルータでの NAT の設定に使用するコマンドに関する知識があること。
コマンドについての詳細は、『ネットワーク アドレス変換の設定:スタートアップ ガイド』を参照してください。
使用するコンポーネント
このドキュメントの情報は、Cisco IOS® ソフトウェア リリース 12.2(18)SXD6 が稼働するスーパーバイザ エンジン 720 を搭載した Cisco Catalyst 6500 シリーズ スイッチ、および CatOS ソフトウェア リリース 8.4(4) が稼働するスーパーバイザ エンジン II を搭載した Cisco Catalyst 6500 シリーズ スイッチに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
関連製品
この設定は、Cisco Catalyst 6000 シリーズ スイッチにも使用できます。
表記法
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
設定
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。
ネットワーク図
このドキュメントでは、次のネットワーク セットアップを使用します。
注:この設定で使用されるIPアドレッシング方式は、インターネット上で正式にルーティング可能なものではありません。これらは、ラボ環境で使用された RFC 1918 のアドレスです。
Cisco IOS の設定例
この設定例では、インターフェイス FastEthernet 4/4 の IP アドレスをオーバーロードするように NAT が設定されています。つまり、複数の Inside のローカル アドレスが同じグローバル アドレスに動的に変換されることになります。この場合、インターフェイス FastEthernet 4/4 に割り当てられたアドレスが、これになります。
さらに、TCP ポート 25(SMTP)のローカル アドレス 10.10.10.2 を送信元とするパケットが、TCP ポート 2525 のインターフェイス FastEthernet 4/4 の IP アドレスに変換されるように、NAT が静的に設定されています。これはスタティックNATエントリであるため、外部の電子メールクライアントはSMTPパケットをグローバルアドレス172.16.10.64に発信できます。外部ポートは、サービス拒否攻撃を防止するために2525として選択されています。
| ネイティブ モードの Catalyst 6500 |
|---|
6509sup720#show running-config Building configuration... Current configuration : 7524 bytes ! version 12.2 service timestamps debug datetime service timestamps log datetime msec localtime service password-encryption service counters max age 10 ! hostname 6509sup720 ! boot system sup-bootflash:s72033-psv-mz.122-18.SXD6.bin !username maui-nas-05 password cisco ! no ip domain-lookup ! no mls flow ip no mls flow ipv6 spanning-tree mode pvst ! redundancy mode sso main-cpu ! ! interface FastEthernet4/4 ip address 172.16.10.64 255.255.255.0 ip nat outside !--- Defines interface FastEthernet 4/4 with an IP address and as a !--- NAT outside interface. ! interface Vlan2 ip address 10.10.10.1 255.255.255.0 ip nat inside !--- Defines interface VLAN 2 with an IP address and as a NAT inside !--- interface. ! interface Vlan3 ip address 10.10.20.1 255.255.255.0 ip nat inside !--- Defines interface VLAN 3 with an IP address and as a NAT inside !--- interface. ! ip nat inside source list 100 interface FastEthernet 4/4 overload !--- Specifies the translation for inside workstations and !--- servers to access the outside world. ip nat inside source static tcp 10.10.10.2 25 interface FastEthernet 4/4 2525 !--- Specifies the static mapping for the outside email clients !--- to access the inside email server. !--- Refer to ip nat inside source for more details !--- on the command. ! ! ip classless no ip http server ! !--- ACL 100 permits only the desired traffic for translation. access-list 100 permit ip 10.10.10.0 0.0.0.255 any access-list 100 permit ip 10.10.20.0 0.0.0.255 any ! line con 0 transport input none line vty 0 4 ! end |
CatOS の設定例
ハイブリッド モードで稼働するスイッチの場合は、最初にスーパーバイザで VLAN を設定してから、MSFC で NAT 設定を適用する必要があります。ハイブリッド モードでは特定のポートに IP アドレスを指定できないため、Outside のポート インターフェイスを持つ代わりに、インターフェイス VLAN を設定する必要があります。
| スーパーバイザ(スイッチ プロセッサ)におけるハイブリッド モード設定での Catalyst 6500 |
|---|
!--- Configure VLAN 2, VLAN 3 and VLAN 4 on the Supervisor. !--- Add VLAN 2. Catalyst6500> (enable) set vlan 2 VLAN 2 configuration successful !--- Add VLAN 3. Catalyst6500> (enable) set vlan 3 VLAN 3 configuration successful !--- Add VLAN 4. Catalyst6500> (enable) set vlan 4 VLAN 4 configuration successful !--- Assign port fa4/4 to VLAN 4. Catalyst6500> (enable) set vlan 4 4/4 VLAN 4 modified. VLAN 1 modified. VLAN Mod/Ports ---- ----------------------- 4 4/4 Catalyst6500> (enable) |
| MSFC(ルート プロセッサ)におけるハイブリッド モード設定での Catalyst 6500 |
|---|
MSFC#show running-config Building configuration... Current configuration : 1024 bytes ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router ! boot system flash bootflash:c6msfc2-jk2o3sv-mz.121-26.E1.bin ! ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 redundancy high-availability single-router-mode ! ! ! ! ! interface Vlan2 ip address 10.10.10.1 255.255.255.0 ip nat inside !--- Defines interface VLAN 2 with an IP address and as a NAT inside !--- interface. ! interface Vlan3 ip address 10.10.20.1 255.255.255.0 ip nat inside !--- Defines interface VLAN 3 with an IP address and as a NAT inside !--- interface. ! interface Vlan4 ip address 172.16.10.64 255.255.255.0 ip nat outside !--- Defines interface VLAN 4 with an IP address and as a NAT outside !--- interface. ! ip nat inside source list 100 interface Vlan4 overload !--- Specifies the translation for inside workstations and !--- servers to access the outside world. ip nat inside source static tcp 10.10.10.2 25 interface Vlan4 2525 !--- Specifies the static mapping for the outside email clients !--- to access the inside email server. ip classless no ip http server ! access-list 100 permit ip 10.10.10.0 0.0.0.255 any access-list 100 permit ip 10.10.20.0 0.0.0.255 any !--- ACL 100 permits only the desired traffic for translation. ! ! line con 0 line vty 0 4 no login ! ! end |
確認
ここでは、設定が正常に機能しているかどうかを確認します。
アウトプット インタープリタ ツール(登録ユーザ専用)(OIT)は、特定の show コマンドをサポートします。OIT を使用して、show コマンド出力の解析を表示できます。
-
show ip nat translations:アクティブな NAT 変換を表示します。
Cat6k#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 172.16.10.64:2525 10.10.10.2:25 --- ---
-
show ip access-list:すべての現在の IP アクセス リストの内容を表示します。
Cat6k#show ip access-lists Extended IP access list 100 permit ip 10.10.10.0 0.0.0.255 any (32 matches) permit ip 10.10.20.0 0.0.0.255 any (22 matches) deny ip any any -
show ip nat statistics:NAT の統計情報を表示します。
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
トラブルシューティングのためのコマンド
アウトプット インタープリタ ツール(登録ユーザ専用)(OIT)は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。
注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。
-
debug ip nat:IP NAT 機能によって変換された IP パケットの情報を表示します。
Cat6k#debug ip nat IP NAT debugging is on Cat6k# *Mar 1 01:40:47.692 CET: NAT: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [80] *Mar 1 01:40:47.720 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [80] *Mar 1 01:40:47.720 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [81] *Mar 1 01:40:47.748 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [81] *Mar 1 01:40:47.748 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [82] *Mar 1 01:40:47.784 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [82] *Mar 1 01:40:47.784 CET: NAT*: s=10.10.20.2->172.16.10.4, d=172.16.150.2 [83] *Mar 1 01:40:47.836 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.20.2 [83] *Mar 1 01:40:47.836 CET: NAT*: s=10.10.10.2->172.16.10.4, d=172.16.150.2 [84] *Mar 1 01:40:47.884 CET: NAT*: s=172.16.150.2, d=172.16.10.4->10.10.10.2 [84]
-
clear ip nat translation *:変換テーブルからダイナミック ネットワーク アドレス変換(NAT)による変換を削除します。
関連コマンド
-
ip nat:インターフェイスで送受信されるトラフィックが NAT 対象であることを指定します。
-
ip nat inside destination:Inside 宛先アドレスの NAT をイネーブルにします。
-
ip nat inside source:Inside 送信元アドレスの NAT をイネーブルにします。
-
ip nat outside source:Outside 送信元アドレスの NAT をイネーブルにします。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
01-Aug-2007 |
初版 |
フィードバック